我需要一些帮助,我的Snort / Barnyard2设置。 我的目标是让Snort将统一日志发送到Barnyard2,然后让Barnyard2将数据发送到其他位置。 这是我的当前设置。
snort -c /etc/snort/snort.conf -i eth2 & /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo &
output unified2: filename snort.log, limit 128
output alert_syslog: host=127.0.0.1 output database: log, mysql, user=snort dbname=snort password=password host=localhost
通过这个设置,barnyard2显示数据库中的所有正确信息,并使用BASE在Web GUI上查看它。 我希望能够用barnyard2发送完整的数据包到系统日志,但在阅读后,似乎不可能做到这一点。 于是我开始尝试修改snort.conf文件并添加“output alert_full:alert.full”这样的行。 这肯定给了我更多的信息,但仍然不是像我想要的全部数据包数据。
所以我的问题是,无论如何,我可以使用barnyard2将警报的完整数据包数据发送到人类可读的文件吗? 由于我不能直接发送到系统日志,我可以创build另一个进程从该文件中获取数据并将其发送到另一台服务器。 如果没有,你会推荐什么标志和/或snort.confconfiguration来获得尽可能多的数据,但仍然能够处理相当多的stream量? 最后,这些警报将通过SSH隧道发送到中央服务器。 我试图远离数据库。
我做了一些额外的研究,发现使用Barnyard的最新版本 – firnsy-barnyard2-v2-1.10-beta2-28 ,给了我想要的额外日志logging。 它现在有能力发送完整的数据包到系统日志。 以下是barnyard2.conf文件中的新选项。
output log_syslog_full: sensor_name snort-sensor, local, operation_mode default
要么
output log_syslog_full: sensor_name snort-sensor, local, operation_mode complete